Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di AWS Network Firewall

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di AWS Network Firewall in Google Security Operations. AWS Network Firewall è un servizio gestito che protegge il tuo VPC dal traffico dannoso. Se invii i log di Network Firewall a Google SecOps, puoi migliorare il monitoraggio, l'analisi e il rilevamento delle minacce.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Accesso privilegiato ad AWS

Come configurare la registrazione per AWS Network Firewall

Accedi alla console di gestione AWS.
Apri la console Amazon VPC.
Nel riquadro di navigazione, seleziona Firewall.
Seleziona il nome del firewall da modificare.
Seleziona la scheda Dettagli firewall.
Nella sezione Registrazione, fai clic su Modifica.
Seleziona i tipi di log: Flow, Alert e TLS.
Per ogni tipo di log selezionato, scegli S3 come tipo di destinazione.

Nota: per modificare la destinazione di un tipo di log esistente, devi prima disattivare la registrazione per le norme.
Poi, modifica il criterio e specifica le nuove destinazioni per il tipo di log.
Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed
Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio AWS Network Firewall Logs).
Seleziona Amazon S3 come Tipo di origine.
Seleziona AWS Network Firewall come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Region (Regione): la regione in cui si trova il bucket Amazon S3.
- URI S3: l'URI del bucket.
  - s3://your-log-bucket-name/
    - Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
- L'URI è un: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
  
  Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate al service account.
- ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
- Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

Region (Regione): la regione in cui si trova il bucket Amazon S3.
URI S3: l'URI del bucket.
- s3://your-log-bucket-name/
  - Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
L'URI è un: seleziona Directory o Directory che include sottodirectory, a seconda della struttura del bucket.
Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
ID chiave di accesso: la chiave di accesso dell'utente con autorizzazioni di lettura dal bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con le autorizzazioni per leggere dal bucket S3.

Opzioni avanzate

Nome feed: un valore precompilato che identifica il feed.
Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Mappato direttamente dal campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Mappato direttamente dal campo `event.app_proto`, convertito in maiuscolo se non è uno dei valori specificati (ikev2, tftp, failed, snmp, tls, ftp). HTTP2 viene sostituito da HTTP.
`event.dest_ip`	`target.ip`	Mappato direttamente dal campo `event.dest_ip`.
`event.dest_port`	`target.port`	Mappato direttamente dal campo `event.dest_port`, convertito in numero intero.
`event.event_type`	`additional.fields[event_type_label].key`	La chiave è codificata come "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Mappato direttamente dal campo `event.event_type`.
`event.flow_id`	`network.session_id`	Mappato direttamente dal campo `event.flow_id`, convertito in stringa.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La chiave è codificata come "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Mappato direttamente dal campo `event.netflow.age`, convertito in stringa.
`event.netflow.bytes`	`network.sent_bytes`	Mappato direttamente dal campo `event.netflow.bytes`, convertito in numero intero senza segno.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La chiave è codificata come "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Mappato direttamente dal campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La chiave è codificata come "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Mappato direttamente dal campo `event.netflow.max_ttl`, convertito in stringa.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La chiave è codificata come "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Mappato direttamente dal campo `event.netflow.min_ttl`, convertito in stringa.
`event.netflow.pkts`	`network.sent_packets`	Mappato direttamente dal campo `event.netflow.pkts`, convertito in numero intero.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La chiave è codificata come "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Mappato direttamente dal campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Mappato direttamente dal campo `event.proto`. Se il valore è "IPv6-ICMP", viene sostituito con "ICMP".
`event.src_ip`	`principal.ip`	Mappato direttamente dal campo `event.src_ip`.
`event.src_port`	`principal.port`	Mappato direttamente dal campo `event.src_port`, convertito in numero intero.
`event.tcp.syn`	`additional.fields[syn_label].key`	La chiave è codificata come "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Mappato direttamente dal campo `event.tcp.syn`, convertito in stringa.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La chiave è codificata come "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Mappato direttamente dal campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Mappato direttamente dal campo `event_timestamp`, analizzato come timestamp.
`event_timestamp`	`timestamp.seconds`	Mappato direttamente dal campo `event_timestamp`, analizzato come timestamp.
`firewall_name`	`metadata.product_event_type`	Mappato direttamente dal campo `firewall_name`. Impostato su "NETWORK_CONNECTION" se sono presenti sia `event.src_ip` che `event.dest_ip`, altrimenti impostato su "GENERIC_EVENT". Codificato in modo permanente su "AWS Network Firewall". Codificato come "AWS".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.